Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution

Er zijn in Nederland zeker 713 Citrix-servers actief die last hebben van een bekende kwetsbaarheid. Volgens beveiligingsonderzoekers worden die servers op het moment actief aangevallen. Door de kwetsbaarheid kan code op een server worden uitgevoerd.

Dat blijkt uit honeypot-data van beveiligingsbedrijf Bad Packets. Onderzoekers scanden internet op Citrix Gateway- en Citrix Application Delivery Controller-servers. Daarvan is bekend dat ze een mogelijke kwetsbaarheid bevatten. CVE-2019-19781 is een kwetsbaarheid waarmee een aanvaller een remote code execution kan uitvoeren op een systeem. Die zwakte is sinds 17 december vorig jaar bekend. Er is op dit moment nog geen patch beschikbaar. De eerste daarvan volgt volgens Citrix naar verwachting rond 20 januari, met een uitloop naar 31 januari. Wel is er mitigatie mogelijk, zegt Citrix.

De onderzoekers van Bad Packets scanden in totaal meer dan 60.000 Citrix-servers. Daarvan waren er 25.121 kwetsbaar, met ssl-certicaten van 18.155 unieke domeinnamen. Het gaat om kwetsbare hostmachines in 122 landen. In Amerika staan bijna 10.000 kwetsbare servers. Nederland staat naast de VS, Duitsland, het VK, Zwitserland en Australië op de zesde plaats in de lijst met landen waar de meeste servers stonden. In totaal gaat het hier om 713 stuks. De organisatie zegt dat het een honeypot heeft opgezet waarop het nu voor het eerst activiteit ziet. Aanvallers scanden sinds vorige week zelf internet al voor servers waar het bestand smb.conf op stond, een aanwijzing dat de betreffende server kwetsbaar was. Sinds zondag proberen aanvallers ook daadwerkelijk de systemen te infecteren.

Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen. "Vooralsnog is er geen actieve exploit waargenomen, maar deze worden wel verwacht", schreef het NCSC toen.

Door Tijs Hofmans

Redacteur privacy & security

13-01-2020 • 12:46

58 Linkedin Google+

Reacties (58)

Wijzig sortering
Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen.
Ga je dan op hun website kijken staat er:
Citrix adviseert om direct de update te installeren zodra deze beschikbaar is.
Er valt dus nog niets te patchen.. Ook Citrix:
Customers should then upgrade all of their vulnerable appliances to a fixed version of the appliance firmware when released.
Trouwens voor België zijn er 402 kwetsbare hosts gevonden.
Er valt dus nog niets te patchen.. Ook Citrix:
Dat heb je soms, dit is een goed moment om nog eens na te denken over de beveiliging van je omgeving. Goede verdediging bestaat uit lagen, zodat een gat in de ene laag wordt opgevangen door de volgende.

Helaas wordt er nogal eens gekozen om alle beveiliging toe te vertrouwen aan één magisch product. Als daar dan iets mis mee gaat dan heb je een groot probleem.
Helaas wordt er nogal eens gekozen om alle beveiliging toe te vertrouwen aan één magisch product. Als daar dan iets mis mee gaat dan heb je een groot probleem.
Hoewel je hier absoluut een erg goed punt maakt, zie ik ook het tegenovergestelde gebeuren bij bedrijven.

Dus de beveiliging toevertrouwen aan te veel producten (de Citrix ADC op Hypervisor A, achter een F5 op hypervisor B, die weer achter een Bluecoat hangt en ga zo maar door).
Er bestaat niet zoiets als één magisch product voor je security. Dus alles van 1 product aflaten hangen is dom. Andersom, alle producten wantrouwen en daardoor de zoveel lagen aanbrengen dat het overzicht verloren raakt en het achterhalen van een issue meer tijd en geld kost dan het oplossen van een enkel problem is ook niet goed.
Er valt inderdaad geen patch te installeren nog, maar het gaat hier om verzoeken welke je wel kunt filteren voordat deze in het systeem terecht komen, dat is ook wat Citrix aanraad om te doen. Zie deze url daarvoor:
https://support.citrix.com/article/CTX267679

[Reactie gewijzigd door mrdemc op 13 januari 2020 13:06]

Gelukkig gaat dit niet over de uitstoot van onze Citrix bakken maar over een aanpassing die je kan doen om het probleem/lek etc. te verminderen.

In dit specifieke geval gaat het om een stukje code die je kan aftrappen op de desbetreffende Citrix bakken.

Voorbeeld:

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot


Zie ook: https://support.citrix.com/article/CTX267679
Fingers crossed dat de machines of het netwerk plat mogen gaan. Klinkt misschien raar, maar beveiliging is een 24/7 taak en bedrijven die dit niet serieus nemen mogen van mij best plat gaan. Of ransomware, en dan weer lekker betalen. Hoevaak moet het nog in het nieuws komen voordat men dit soort dreigingen serieus gaat nemen? Wie niet luisteren wil...
Ik snap de emotie, die voel ik ook regelmatig, maar het is ook een onmogelijke situatie waar we met z'n allen in verzeild zijn geraakt. We zijn ontzettend afhankelijk geworden van software maar missen de methodes om die degelijk, betrouwbaar en veilig te maken, (mede) daardoor is het ontwikkelen van software ontzettend duur. Daar komt nog eens bij dat het ontzettend moeilijk is om de kwaliteit van software te beoordelen. Je hebt een gedegen IT-achtergrond nodig en toegang tot de broncode om een beetje zinnig oordeel te kunnen vormen. Voor een "gewoon" (niet-IT) bedrijf is het praktisch onmogelijk.

Echt goed bestaat niet, een beetje goed is peperduur. De meeste organisaties zouden hun hele budget in IT kunnen stoppen en nog niet echt veilig zijn. Zonder IT gaat echter ook niet. De IT voegt zo veel waarde toe dat je zonder niet meer kan concurreren. Zo is iedereen min of meer gedwongen om brakke IT te accepteren.

We maken kleine stapjes vooruit doordat de wet (en verzekeraars) steeds meer eisen stellen. Hierdoor wordt de ondergrens opgehoogd voor iedereen, en kun je investeren zonder marktaandeel te verliezen aan een concurrent die niet zou investeren in verbetering als hij daar niet toe gedwongen werd.

De meeste software wordt echter nog geschreven voor markten groter dan de onze waarin dat soort overwegingen een kleinere rol spelen. We zullen de kwaliteit van software wereldwijd moeten verbeteren.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True